McAfee copertura Enterprise per la vulnerabilità dell'esecuzione remota di codice CVE-2021-38647

Articoli tecnici ID: KB94887
Ultima modifica: 01/07/2022

Ambiente

Linux sistemi in cui è in esecuzione l'infrastruttura di gestione aperta di Azure (OMI) Agent

Riepilogo

Aggiornamenti recenti a questo articolo

Data	Aggiornamento
15 settembre 2021	Aggiunta di query EDR RTS. Pubblicazione iniziale.

Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.

McAfee Enterprise sta indagando su una vulnerabilità recente, CVE-2021-38647, segnalata da Microsoft nell'ambito degli aggiornamenti di sicurezza di settembre 2021 patch martedì. Questa vulnerabilità si applica a Azure OMI. Questa vulnerabilità è classificata con un punteggio di CVSS ( 3.1 ) di 9.8.

CVE-2021-38647 è considerato il più critico di una raccolta di vulnerabilità recenti rilasciate da Microsoft, definite collettivamente come "OMIGOD" vulnerabilità. L'elenco completo delle vulnerabilità è CVE-2021-38647, CVE-2021-38648, CVE-2021-38645e CVE-2021-38649. Per ulteriori informazioni, consultare il sito ufficiale Guida all'aggiornamento Microsoft su CVE-2021-38647.

Problema

Questa vulnerabilità può essere sfruttata per ottenere accesso da remoto con le autorizzazioni root su un carico di lavoro virtuale che esegue un sistema operativo basato su Linux ed eseguire codice. Inviando una richiesta HTTP/S con l'intestazione di autorizzazione rimossa, un aggressore può utilizzare questa vulnerabilità per ottenere le autorizzazioni di root sul sistema della vittima.

Che cos'è Azure OMI?

La Agent OMI viene sfruttata in molti servizi Azure più diffusi. Microsoft fa riferimento a Azure Operations Management Suite (OMS) e System Center for Linux, che possono essere utilizzati con i sistemi Linux locali.

Soluzione

È importante sottolineare che Microsoft ha pubblicato una patch nel Agent OMI, rilasciata l'11 settembre 2021. I proprietari dei sistemi possono applicare la patch per porre rimedio alla vulnerabilità. Questa patch è disponibile direttamente dall' archivio Microsoft OMI Agent GitHub nella 1.6.8 versione-1.

Importante: Per essere sufficientemente protetti dagli aggiornamenti di sicurezza forniti da Microsoft per "OMIGOD" le vulnerabilità, i clienti devono intraprendere azioni manuali per implementare le patch necessarie. Azure OMI non applica automaticamente questa patch.

In che modo è possibile McAfee soluzioni per i prodotti Enterprise?

McAfee Enterprise sta valutando la copertura dei prodotti in tutto il nostro portafoglio. Questo articolo verrà aggiornato quando viene identificata la copertura del prodotto.

Le funzionalità del prodotto sono disponibili per i seguenti componenti:

Endpoint Security for Linux Firewall: Blocca le connessioni in ingresso per le porte interessate; blocca il servizio OMI dalle comunicazioni di rete.
MVision EDR/McAfee Active Response: Cerca connessioni per porta e privilegi utente.
Ricerca Real Time -
I query seguenti possono essere utilizzati per identificare i sistemi che eseguono il Agent OMI e la rispettiva versione del servizio installato:

software e HostInfo hostname dove il software DisplayName contiene OMI

È possibile utilizzare le seguenti query per identificare il traffico proveniente dal servizio omiengine:

processi e CurrentFlow e HostInfo hostname dove il nome dei processi è uguale a omiengine
Controllo applicazione: Impedire l'esecuzione del servizio OMI.

Nota: In comune porte OMI sono 5986, 5985 e 1270. Tuttavia, sono disponibili le opzioni di configurazione personalizzate per le porte OMI. I clienti dovrebbero indagare internamente ciò che viene utilizzato nel proprio ambiente. Inoltre, con un ulteriore test, questi passaggi verranno delineati in modo più dettagliato.

Per i seguenti prodotti è in corso la valutazione della copertura del prodotto:

Cloud native Application Protection Platform (CNAPP)
Piattaforma di protezione del carico di lavoro cloud (CWPP)

Per ricevere aggiornamenti continui, abbonarsi a questo articolo e supportare il servizio di notifica (SNS).

Informazioni correlate

Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.

Per ricevere informazioni sugli aggiornamenti dei prodotti, iscriversi al servizio di notifica dell'assistenza.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Application and Change Control 8.3.x
Application and Change Control 8.2.x
Application and Change Control 8.1.x
Application and Change Control 8.0.x
Best Practices
Endpoint Security for Linux Firewall 10.7.x
Endpoint Security for Linux Firewall 10.6.x
McAfee Active Response 2.x
MVISION EDR - All Versions
Threat Prevention and Removal
Vulnerability Response

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

McAfee copertura Enterprise per la vulnerabilità dell'esecuzione remota di codice CVE-2021-38647

Ambiente

Riepilogo

Problema

Soluzione

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

McAfee copertura Enterprise per la vulnerabilità dell'esecuzione remota di codice CVE-2021-38647

Ambiente

Riepilogo

Problema

Soluzione

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title